Heartbleed bug

最新推荐文章于 2023-09-02 12:30:56 发布
最新推荐文章于 2023-09-02 12:30:56 发布
阅读量2.1k 收藏 3
点赞数
分类专栏: 网络安全实验 文章标签: ssl 网络安全实验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/koko2015c/article/details/56678799
版权
Heartbleed Bug是OpenSSL库中的一个严重安全缺陷,允许攻击者窃取服务器内存中的敏感信息,如私钥、密码。本文档通过实验介绍了Heartbleed的工作原理、如何启动Heartbleed攻击、漏洞成因以及修复措施。实验涉及设置攻击者和受害者VM,使用Heartbeat协议进行攻击,并展示了更新OpenSSL库以解决漏洞的方法。
摘要由CSDN通过智能技术生成

该漏洞被归为缓冲过度读取。缓冲过度读取错误是软件可以读取比应该被允许还多的数据。

1. 概述
Heartbleed错误(CVE-2014-0160)是OpenSSL库中的严重实施缺陷,它使攻击者能够从受害服务器的内存窃取数据。 被盗数据的内容取决于服务器内存中的内容。 它可能包含私钥,TLS会话密钥,用户名,密码,信用卡等。此漏洞是在执行Heartbeat协议,SSL / TLS使用它来保持连接活动。 本实验的目的是让学生了解这个漏洞的严重程度,攻击的工作原理以及如何解决这个问题。 受影响的OpenSSL版本范围为1.0.1到1.0.1f。 我们的Ubuntu VM的版本是1.0.1。

2. 实验环境
在本实验中,我们需要设置两个虚拟机:一个称为攻击者计算机,另一个称为受害服务器。我们使用预构建的SEEDUbuntu12.04 VM。 VM需要使用NAT网络适配器进行网络设置。这可以通过转到VM设置,选择网络,然后单击适配器标记将适配器切换到NAT-Network来完成。确保两个VM位于同一NAT网络上。此攻击中使用的网站可以是使用SSL / TLS的任何HTTPS网站。然而,由于攻击一个真实的网站是非法的,我们已经在我们的VM中设置了一个网站,并对我们自己的VM进行攻击。我们使用一个名为ELGG的开源社交网络应用程序,并将其托管在以下URL中:https://www.heartbleedlabelgg.com
我们需要修改攻击者计算机上的/ etc / hosts文件,以将服务器名称映射到服务器VM的IP地址。搜索/ etc / hosts中的以下行,并将IP地址127.0.0.1替换为承载ELGG应用程序的服务器VM的实际IP地址。 127.0.0.1 www.heartbleedlabelgg.com

3. 实验任务
在进行实验任务之前,您需要了解Heartbeat协议的工作原理。 Heartbeat协议由两种消息类型组成:HeartbeatRequest包和HeartbeatResponse包。 客户端向服务器发送HeartbeatRequest包。 当服务器接收到它时,它在HeartbeatResponse数据包中发送一个接收到的消息的副本。 目标是保持持续连接状态。 协议如图1所示。
这里写图片描述
3.1 任务1:启动Heartbleed攻击。
在这项任务中,学生将在我们的社交网站上启动Heartbleed攻击,并看看可以实现什么样的损害。 Heartbleed攻击的实际损坏取决于服务器内存中存储的是什么类型的信息。 如果服务器上没有太多活动,您将无法窃取有用的数据。 因此,我们需要作为合法用户与Web服务器进行交互。 让我们以管理员身份执行操作,并执行以下操作:
这里写图片描述
在作为合法用户进行了足够的交互后,您可以启动攻击,并查看可以从受害服务器中获取的信息。 编写程序以从头开始执行Heartbleed攻击并不容易,因为它需要Heartbeat协议的低级知识。 幸运的是,其他人已经写了攻击代码。 因此,我们将使用现

最低0.47元/天 解锁文章
koko2015c
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Heartbleed bug实验报告
koko2015c的博客
02-24 1615
1.首先打开VM• Visit https://www.heartbleedlabelgg.com from your browser. • Login as the site administrator. (User Name:admin; Password:seedelgg) • Add Boby as friend. (Go to More -> Members and click Bob
Heartbleed Bug
06-12 606
1、Heartbleed Bug 官网       http://heartbleed.com/ 2、Heartbleed Bug是如何
openssl(CVE-2014-0160)心脏出血漏洞复现
m0_62008601的博客
08-02 1648
心脏出血是openssl库中的一个内存漏洞,攻击者利用这个漏洞可以服务到目标进程内存信息,如其他人的cookie等敏感信息。HeartbleedBug是流行的OpenSSL加密软件库中的一个严重漏洞。此弱点允许在正常情况下窃取受用于保护Internet的SSL/TLS加密保护的信息。SSL/TLS为Web、电子邮件、即时消息(IM)和一些虚拟专用网络(VPN)等应用程序提供Internet上的通信安全和隐私。...
心脏滴血漏洞(Heartbleed):网络安全的致命威胁
最新发布
博客
09-02 1451
心脏滴血漏洞是由于OpenSSL库中的一个缺陷造成的。OpenSSL是一个广泛使用的加密库,用于保护网络通信的安全性。心脏滴血漏洞的存在使得攻击者可以在未经授权的情况下访问服务器内存中的敏感信息,如私钥、用户名和密码等。这个漏洞的影响范围非常广泛,几乎所有使用OpenSSL的服务器都受到了影响。据估计,超过50%的互联网服务器受到了心脏滴血漏洞的威胁。SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是一组用于保护网络通信的加密协议。
心脏出血漏洞利用
春日野穹
04-09 3773
0x0引言~ 心脏出血(英语:Heartbleed),也简称为心血漏洞,是一个出现在加密程序库OpenSSL的安全漏洞,该程序库广泛用于实现互联网的传输层安全(TLS)协议。它于2012年被引入了软件中,2014年4月首次向公众披露。只要使用的是存在缺陷的OpenSSL实例,无论是服务器还是客户端,都可能因此而受到攻击。此问题的原因是在实现TLS的心跳扩展时没有对输入进行适当验证(缺少边界检查),...
heartbleed.js:openssl Heartbleed bug(CVE-2014-0160) 检查 Node.js
06-09
heartbleed.js 针对 Node.js 的 openssl Heartbleed 错误检查 检查结果 {"code":0,"data":"1803021003020ff0d8030253435b909d9b720bbc0cbc2b92a84897cfbd3904cc160a8503909..."} code: 0易受攻击。 (存在漏洞) ...
heartbleed漏洞复现
dys_ddnh的博客
12-22 342
heartbleed漏洞复现 参考链接 1、先换源 换源可参考 2、配置环境,安装docker、dockers-compose sudo apt-get install docker sudo apt-get install docker-compose 换docker源 添加文件 命令和文件信息如下(如果不进行这一步docker-compose up -d时可能会出错) vim /etc/docker/daemon.json { "registry-mirrors":["https://do
Heartbleed心脏出血漏洞靶场搭建
fly小灰灰的专栏
01-12 6181
1. 简介   OpenSSL心脏出血漏洞原理是OpenSSL引入心跳(heartbeat)机制来维持TLS链接的长期存在,心跳机制作为TLS的扩展实现,但在代码中包括TLS(TCP)和DTLS(UDP)都没有做边界检测,所以导致攻击者可以利用这个漏洞来获得TLS链接对端(可以是服务器也可以是客户端)内存中的一些数据。    所以针对本次漏洞的检测,我需要在虚拟机中搭建一个通过https安全协议的数
heartbleed漏洞小记
weixin_34820824的博客
07-01 393
缘起:一次面试,问bleed F5证书卸载之事,totally unknown,科学上网后查询写资料,是记之 心脏出血漏洞(英语:Heartbleed bug),也简称为心血漏洞,是一个出现在加密程序库OpenSSL的安全漏洞。只要使用的是存在缺陷的OpenSSL实例,无论是服务器还是客户端,都可能因此而受到攻击。此问题的原因是在实现TLS的心跳扩展时没有对输入进行适当验证(缺少边界检查)[3],因此漏洞的名称来源于“心跳”(heartbeat)[4]。该程序错误属于缓冲区过读[5],即可以读取的数据比应该
Heartbleed第二篇:Heartbleed漏洞剖析
刘兵马俑的博客
06-01 1603
Heartbleed漏洞剖析
cve-2014-0160_什么是Heartbleed漏洞Bug CVE-2014-0160?
culin0274的博客
08-10 215
cve-2014-0160A bug named Heartbleed has been recently discovered which is a serious encryption flaw and can be exploited to steal private data of users. 最近发现了一个名为Heartbleed的漏洞,它是一个严重的加密漏洞,可以用来窃取用户的私人...
Heartbleed“心脏流血”漏洞已大范围修补
weixin_33720452的博客
06-07 76
据Re/code网站报道,上周震惊整个互联网世界的“心脏流血” 漏洞(Heartbleed)引发了人们的恐慌。不过,最新报告显示,目前大部分网站已进行更新,修补了这一漏洞。互联网安全公司Sucuri对100万个网站进行了系统性扫描,结果显示:流量排名前1000位的网站大部分都是安全的,它们已经升级,并重新创建了认证和 密锁,其中包括谷歌、Facebook...
openwrt 修正heartbleed bug 补丁
xingji041的专栏
05-18 1092
heartbleed bug的主要原因是由于cache 的过度读取
heartbleed 心脏流血漏洞原理及补救方法
sdulibh的专栏
12-28 5662
When I wrote about the GnuTLS bug, I said that this isn't the last severe TLS stack bug we'd see. I didn't expect it to be quite this bad, however. The Heartbleed bug is a particularly nasty bug. I
SEED-lab:Heartbleed Attack Lab
郭同学如是说
02-25 1349
OpenSSL 库中的一个漏洞,受影响的 OpenSSL 版本范围从1.0.1到1.0.1 f,在一些新版本的OpenSSL中无法复现 心跳协议是如何工作的。心跳协议由两种消息类型组成: HeartbeatRequest 包和 HeartbeatResponse 包。客户端向服务器发送一个 HeartbeatRequest 数据包。当服务器接收到它时,它会发回 HeartbeatResponse 数据包中接收到的消息的副本。目标是保持连接活跃 心脏出血攻击是基于心跳请求的。这个请求只是向服务器发送一些数
漏洞分析Heartbleed Attack Lab(自用、记录)
weixin_48392428的博客
05-24 1500
Heartbleed Attack Lab1 Overview2 Lab Environment3 Lab Tasks3.1 Task 1: Launch the Heartbleed Attack.3.2 Task 2: Find the Cause of the Heartbleed Vulnerability3.3 Task 3: Countermeasure and Bug Fix4 attack.py原程序 1 Overview Heartbleed bug (CVE -2014-0160)是Op
OpenSSL Heartbleed 漏洞
PennJ的专栏
04-12 943
z
解码心脏出血漏洞 图解Heartbleed Bug
loganyang123的专栏
04-15 1275
解码心脏出血漏洞
Bugfree安装与使用指南
"bugfree安装文档及基本使用手册" 本文档主要介绍了Bugfree的安装过程以及基本使用方法,适合初学者和学习者参考。Bugfree是一个开源的缺陷跟踪系统,用于帮助软件开发团队管理项目的错误和问题。 1. Bugfree安装 ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值